Geplante NIS2-Umsetzung wirkt unglaubwürdig

Die im Dezember 2022 veröffentlichte zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit, kurz NIS-2-Richtlinie, befindet sich aktuell in der nationalen Umsetzung. Vor dem Innenausschuss des Deutschen Bundestages äußerten Sachverständige jetzt deutliche Kritik am Gesetzesentwurf.
vom 5. November 2024
image

Der Entwurf sieht Ausnahmeregelungen für staatliche Verwaltungen vor. Von einem „falschen Signal“, auch an die „Wirtschaft, die jetzt viel breiter reguliert wird“, sprach Andreas Könen, Senior Fellow des Brandenburgischen Instituts für Gesellschaft und Sicherheit (BIGS). Es werde unterschieden zwischen Ministerien und Kanzleramt auf der einen Seite, die höhere Anforderungen erfüllen müssten, und den Bundesbehörden, die unter den schon erreichten Regulierungsstand zurückfielen. Mit Blick auf die Ausnahmen, die für nachgeordnete Behörden gemacht werden, sagte Timo Kob, Vorstandsmitglied der HiSolutions AG, einem Unternehmen aus dem Bereich IT- und Security-Management: „Wenn man sagt, dass Ketten nur so stark sind wie das schwächste Glied, dann haben wir hier ein Cybersicherheitsschwächungsgesetz.“ Ein Glaubwürdigkeitsproblem sieht Felix Kuhlenkamp Referent für Sicherheitspolitik beim Branchenverband Bitkom, in die gleiche Kerbe schlägt Claudia Plattner, Präsidentin des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Die aktuell formulierten Ausnahmen könne man sich nicht leisten – es entsteht ein „massives Glaubwürdigkeitsproblem, wenn wir selbst nicht bereit sind zu tun, was wir von der Wirtschaft erwarten.“ Cybersicherheit sei inzwischen nationale Sicherheit, die brauche das Gesetz dringend. Indes müssten IT-Sicherheitsvorgaben für alle Bereiche der Bundesverwaltung gleichermaßen gelten. Für bestehende Kritische Infrastrukturen ändern Richtlinie und Gesetz wenig, aber für rund 30.000 nach dem Gesetz „besonders wichtige“ und „wichtige“ Einrichtungen ergeben sich erstmals Registrierungs-, Nachweis- und Meldepflichten.

 

 

Cybersicherheit: Gesamtgesellschaftliche Aufgabe

Wie Kuhlenkamp weiter ausführt, sei aus Sicht der deutschen Wirtschaft die Kommunikation und Unterstützung für regulierte Einrichtungen verbesserungswürdig. In anderen Ländern würden die betroffenen Unternehmen von der Regierung aktiv informiert. In Deutschland müssten hingegen die 30.000 neu betroffenen Unternehmen selbst herausfinden, ob sie von NIS-2 betroffen sind. Boris Eisengräber, Leiter Cyber Security des Softwareunternehmens Schwarz Digits betonte, dass allein die unterschiedlichen Umsetzungen der EU-Richtlinie in den einzelnen Mitgliedsstaaten für international tätige Unternehmen eine Herausforderung darstellen. Ein effektives Cybersicherheitsniveau sei eine gesamtgesellschaftliche Aufgabe. Unklar bleibe die Rolle des BSI im nationalen Verwaltungsgefüge – das kritisierte Prof. Dr. Dennis-Kenji Kipker, deutsch-japanischer Rechtswissenschaftler und Professor für IT-Sicherheitsrecht an der Universität Bremen. Diese sei nicht angetastet worden – und das, obwohl das BSI nicht nur in seiner Rolle als Zentralstelle für Cybersicherheit einen massiven weiteren Ausbau erfahren solle, sondern mit NIS-2 auch zahlreiche weitere Befugnisse erhalten werde. BSI-Präsidentin Plattner plädierte für die Ansiedlung eines „starken“ Chief Information Security Officers – CISO Bund – in ihrem Hause. Haya Shulman, deutsch-israelische Expertin für Netzwerk und Computersicherheit und Professorin an der Johann-Wolfgang-Goethe-Universität in Frankfurt am Main, forderte, dessen Funktion im Gesetzesentwurf zu konkretisieren. Ein CISO sei stets Teil der Organisation, für deren Cybersicherheit er verantwortlich ist, benötige aber ein hohes Maß an Autonomie hinsichtlich Kommunikation in und außerhalb der Organisation und hinsichtlich der Ausübung seines Vetorechts. Insgesamt sei die mit der NIS-2-Umsetzung verbundene Chance zur Erreichung einer harmonisierten IT-Sicherheitsregulierung vertan, bringt es Dr. Sven Herpig, Leader Cybersecurity Policy and Resilience bei interface, auf den Punkt. Deutschland behalte nun neben seiner fragmentierten IT-Sicherheitsarchitektur, seiner fragmentierten IT-Cybersicherheitsstrategie auch eine fragmentierte IT-Sicherheitsregulierung. „Das ist weder effektiv noch effizient im Sinne der Cybersicherheit dieses Landes“, sagte er.     

 

Copyright Bild:  Unsplash / Hans Eiskonen

Beitrag von Alexander Pradka

Dies könnte Sie auch interessieren

241206_News_Bundestag Schiedsverfahren_US_colin-lloyd-SQZtpwXnY1Q-unsplash
Neues Schiedsverfahrensrecht soll noch in aktueller Legislaturperiode kommen
Im Rechtsausschuss des Deutschen Bundestages hat diese Woche die öffentliche Anhörung zur Modernisierung des Schiedsverfahrensrechts stattgefunden. Es...
Businesswoman Calculating Invoice On Computer model released, Symbolfoto, 13.10
Umstellung auf E-Rechnung läuft schleppend
Der 1. Januar 2025 ist ein wichtiger Stichtag für Unternehmen – bei Umsätzen zwischen inländischen Unternehmen wird die Ausstellung einer elektronischen...
241129_News_Mitarbeitende Fusionskontrolle_boliviainteligente-5b9Lr-ggr0E-unsplash
Fusionskontrolle erfasst auch weniger klassische Übernahmekonzepte
Wie das Bundeskartellamt mitteilt, kann die Übernahme von Mitarbeitenden der deutschen Fusionskontrolle unterliegen. Entscheidend ist neben der sogenannten...